Técnica conhecida como 'javascript skimming' pode usar serviços populares para burlar mecanismos de segurança adotados em lojas. Consumidor pode se prevenir com cartão virtual. Hackers exploram falhas em lojas on-line para adulterar páginas que coletam dados de pagamento. Lotus Head/Freeimages.com Criminosos estão invadindo lojas on-line e depois transmitindo dados de cartões de crédito por um canal de comunicação do Google Analytics, um serviço usado por sites na internet para mapear a própria audiência. Pelo menos três empresas de segurança – Kaspersky, Sansec e PerimeterX – identificaram sites adulterados com esse código. Nenhuma delas especificou quais endereços da web foram atacados, mas ao menos duas dezenas de empresas teriam sido vítimas dos hackers. Os hackers não usam o Analytics para invadir os sites. O papel da ferramenta do Google no ataque é burlar um mecanismo de segurança chamado de Content Security Policy (CSP), que protege o site contra alguns tipos de vazamentos de informações. Antes de chegar a esse ponto, os hackers precisaram de algum acesso aos sistemas da loja para incluir o código que registra e transmite as informações de pagamento – como número do cartão, vencimento, código de segurança e nome do titular. As empresas de segurança não informaram como isso pode ter acontecido, mas indicaram que falhas em sistemas de carrinho de compras ou o uso de extensões inseguras tenha contribuído para a ação dos criminosos. Falhas em plugins e temas piratas deixam mais de 1 milhão de sites WordPress vulneráveis a hackers "Recentemente, fomos notificados sobre essa atividade e suspendemos imediatamente as contas relacionadas por violação de nossos termos de serviço. Sempre que identificamos o uso não autorizado do Google Analytics tomamos as medidas necessárias", afirmou o Google em nota. Como acontece o ataque Após encontrar um meio para invadir o site da loja, o hacker faz modificações na página de pagamento e inclui um código que coleta todos os dados digitados. As informações são então remetidas a uma conta do Google Analytics controlada pelos criminosos. Tudo acontece no próprio navegador do cliente da loja e não nos "bastidores" do sistema de pagamento. A tecnologia CSP restringe as conexões externas feitas pelo navegador, limitando a ação de códigos irregulares incluídos na página. Ela fornece uma lista de sites que o navegador está autorizado a contatar. O Analytics, por ser um serviço popular, costuma fazer parte do conteúdo liberado, mas essa decisão cabe a cada site. Sendo assim, as lojas podem contornar esse cenário usando uma regra específica para as páginas de pagamento, já que essas páginas normalmente não precisam ter sua audiência mapeada e o risco de permitir qualquer conteúdo externo é mais alto que em outras telas do site. Embora o uso do Analytics nessas fraudes seja considerado inédito, a adulteração de páginas de pagamento para o roubo de dados de cartões não é nova. A técnica é conhecida como "javascript skimming" e afeta sites populares pelo menos desde 2018, quando a fabricante de celular OnePlus foi afetada por um código desse tipo e revelou que 40 mil clientes tiveram seus dados roubados. Em novembro de 2019, a Visa alertou a respeito do "Pipka", um código que chamou a atenção por remover a si próprio das páginas após realizar o roubo de dados. Esse comportamento do código dificultava a identificação da fraude, que foi encontrada em 17 sites de comércio eletrônico. 'Cartões virtuais' protegem contra roubo Os aplicativos das instituições emissoras de cartão muitas vezes permitem que o consumidor crie "cartões virtuais", que evitam a maior parte do prejuízo e das dores de cabeça decorrentes do roubo dos dados do cartão na web. Embora as compras feitas com o cartão virtual sejam registradas no mesmo extrato, ele é desvinculado do cartão físico. Isso significa que ele pode ser cancelado ou trocado sem que seja preciso cancelar ou trocar também o cartão físico. Cada banco ou emissora de cartão têm regras específicas para o cartão virtual. Alguns são descartáveis e valem para única compra, enquanto outros funcionam exatamente como o cartão físico, mas com um número diferente. Também há bancos que modificam periodicamente o código de verificação do cartão virtual, o que impediria o criminoso de usar as informações roubadas depois de alguns dias. Em qualquer um desses casos, o uso do cartão virtual dificulta o aproveitamento dos dados roubados. Logo que a fraude for percebida, o consumidor pode solicitar o reembolso dos pagamentos, cancelar o cartão virtual e gerar um novo, podendo voltar a realizar compras. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com